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Présentation du chapitre 


Objectifs du chapitre 


Résumer le fonctionnement d’Ethernet tel qu’il est défini pour les réseaux locaux de 100/1000 
Mbits/s dans la norme IEEE 802.3 

Expliquer les fonctions permettant à un commutateur de transmettre des trames Ethernet sur 
un réseau local 

Configurer un commutateur en vue de son utilisation sur un réseau conçu pour des 
transmissions de la voix, de la vidéo et des données 

Configurer une sécurité de base sur un commutateur destiné à fonctionner sur un réseau 
conçu pour des transmissions de la voix, de la vidéo et des données 
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Détection de porteuse avec accès multiple (CSMA/CD) 


L'ensemble de règles auquel Ethernet a recours est fondé sur la 
technologie détection de porteuse avec accès multiple (CSMA/CD) de la 
norme IEEE. 

» Ecoute de porteuse : l’émetteur vérifie l'état d'utilisation du Média. 
» si un signal est détecté, l’émetteur patiente un moment 
o sinon, l’émetteur transmet son message 

» Accès multiple : lorsque la distance entre les périphériques est 
importante par rapport à la latence du réseau, il se peut qu'un 
deuxième émetteur ne détecte pas l'utilisation du réseau et 
commence à transmettre également son message. Chose qui 
implique une collision 

® Détection des collisions : chaque périphérique qui détecte une 
collision continue d'émettre jusqu’à ce que tous les périphériques du 
même réseau puissent la détecter 
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Communications Ethernet 


Les communications dans un réseau local commuté surviennent sous trois 
formes : 

» Monodiffusion : communication dans laquelle une trame est 
transmise depuis un hôte vers une destination spécifique 
» Diffusion : communication dans laquelle une trame est transmise 
d'une adresse vers toutes les autres adresses existantes 
a Multidiffusion : communication dans laquelle une trame est 
transmise à un groupe spécifique de périphériques ou de clients 
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Trame Ethernet 


La structure de trame Ethernet ajoute des en-têtes et des queues de 
bande autour de l'unité de données de protocole (PDU) de la couche 3 
afin d'encapsuler le message transmis : 


IEEE 802.3 
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Figure: Entête d’une Trame Ethernet 
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Trame Ethernet 


a Préambule et délimiteur : ces huit premiers octets de la trame 
demandent essentiellement aux récepteurs de se préparer à recevoir 
une nouvelle trame 

» Adresse MAC de destination : permet un périphérique de déterminer 
si une trame lui est adressée 

o Adresse MAC source : identifie la carte réseau ou l'interface 
d'origine de la trame 

a Longueur/Type : détermine quel protocole de couche supérieure est 
présent 

» Séquence de contrôle de trame : permet de détecter les erreurs 
survenues dans une trame 
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Adresses MAC 


Une adresse MAC Ethernet est une valeur binaire de 48 bits exprimée sur 
12 chiffres hexadécimaux. Elle se compose de : 

» l'identifiant unique d'organisation (24 bits) : Cette partie identifie le 
fabricant de la carte réseau. Elle se compose de trois champs : 
o Bit de diffusion ou multidiffusion (1 bit) 
o Bit d’adresse administrée localement (1 bit) 
o Numéro d’identifiant d’organisation (22 bits) 

a numéro d'affectation du constructeur (24 bits): Partie de l’adresse 
MAC qui concerne le constructeur. Elle identifie de manière unique 
le matériel Ethernet. 
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Paramètres bidirectionnels 


Deux types de paramètres bidirectionnels sont employés pour les 
communications dans un réseau Ethernet : 

» Bidirectionnel non simultané : 

a Flux de données unidirectionnel 
a Risque de collision plus élevé 
a Connectivité avec le concentrateur 
» Bidirectionnel simultané : 

o Communication point à point uniquement 
o Connexion au port commuté dédié 
o Aucun risque de collision 
a Circuit de détection de collision désactivé 
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Paramètres de port de commutateur 


Le type du support utilisé implique la configuration des paramètres 
bidirectionnels du port. Les commutateurs Cisco Catalyst présentent trois 
paramètres : 

a auto : définit l’auto-négociation pour le mode bidirectionnel 
a full : définit le mode bidirectionnel simultané 
a half : définit le mode bidirectionnel non simultané 
a auto-MDIX : détecte le type de câble requis pour les connexions 
Ethernet cuivre, puis configure les interfaces en conséquence 




Réseaux locaux Ethernet 
Transmission de trames au moyen d'un commutateur 
Configuration de la gestion d'un commutateur 
Configuration de la sécurité des commutateurs 


Principaux éléments des réseaux Ethernet 
Considération liées à la conception des réseaux Ethernet 
Considération liées à la conception des réseaux locaux 


Principaux éléments des réseaux Ethernet 


Table d'adresses MAC du commutateur 


L'enregistrement des adresses MAC et des ports associés dans la table de 
commutation suit le processus suivant: 

9 Le commutateur reçoit une trame du PC_1 sur le port_l en 
destination d'un PC_2 

9 Le commutateur enregistre l'adresse MAC de PCT et port_l sur 
table de routage (si ce n'est déjà fait) 

O Le commutateur diffuse la trame si PC_2 ne se trouve pas sur la 
table de commutation 

O Le commutateur enregistre l’adresse MAC de PC_2 et le port_2 
lorsque PC_2 réponde 

9 Si une nouvelle trame est destiné vers PC_2, le commutateur saura 
le port à utiliser depuis la table de commutation 
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Considération liées à la conception des réseaux Ethernet 


o Bande passante et débit 
» Domaines de collision 
» Domaines de diffusion 
® Latence du réseau 
® Encombrement du réseau 
® Segmentation des réseaux locaux 
a Ponts et commutateurs 
® Routeurs 
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Contrôle de la latence du réseau 


» Tenir compte de la latence que génère chaque périphérique réseau 
» L'utilisation inutile de périphérique de couche OSI supérieur 
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Suppression des goulots d'étranglement 


Les goulots d'étranglement dans un réseau sont des emplacements où un 
encombrement trop élevé peut ralentir les performances du réseau 



Figure: Suppression d'un goulot d'étranglement 
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Méthodes de transmission par commutateur 


Auparavant, les commutateurs faisaient appel aux méthodes de 
transmission pour la commutation des données entre des ports réseau : 
a store and forward : 

o stockage en entier de la trame 
o contrôle d'erreur à l’aide du CRC 
» transfert de la trame si le CRC correspond 
o primordiale dans les réseaux convergents 
a cut-through : 

a transmission de la trame dès la lecture de l'adresse MAC 
o aucun contrôle 

o plus rapide que “store and forward” 
o peut transmettre des trames endommagées 
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Commutation symétrique et asymétrique 


La commutation symétrique ou asymétrique d'un réseau local dépend de 
la façon dont la bande passante est allouée aux ports de commutateur 
a Commutation symétrique : des connexions commutées entre des 
ports associés à des bandes passantes différentes 
a Commutation asymétrique : tous les ports disposent de la même 
bande passante 
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Commutateur de couche 2 


® permet d'effectuer une commutation et un filtrage en se basant 
uniquement sur l'adresse MAC 

» est entièrement transparent pour les protocoles réseau et les 
applications utilisateur 


Commutateur de couche 3 


o fonctionne de manière similaire à un commutateur de couche 2 
® peut également exploiter celles des adresses IP (routage de base) 
® pour les connexions WAN il est préférable d'utiliser des routeurs 
dédiés 
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Modes d'interface de ligne de commande 


® Mode d'exécution utilisateur : permet d'accéder uniquement à un 
nombre de commandes de contrôle de base 

® Mode d'exécution privilégié : permet d'accéder à toutes les 
commandes de configuration et de gestion. 

o Mode de configuration globale : configurer les paramètres généraux 

» Mode de configuration d'interface : configurer les paramètres d'une 
interface réseau 
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Utilisation de l’ILC 

Séquence d'amorçage d’un commutateur 
Configuration de base d'un routeur 


Commandes 


a enable : Passez du mode d'exécution utilisateur au mode 
d'exécution privilégié 

a disable : Passez du mode d’exécution privilégié au mode d'exécution 
utilisateur 

a interface fastethernet 0/1 : Passez du mode de configuration globale 
au mode de configuration d’interface pour l'interface Fast Ethernet 
0/1 

a exit : passer d'un mode actuel au mode précédant 
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Utilisation de l’ILC 

Séquence d'amorçage d'un commutateur 
Configuration de base d'un routeur 


La fonction d'aide 


L'ILC de Cisco IOS propose deux types d'aide : 
» Aide sur les termes 

» Aide relative à la syntaxe des commandes 


Messages d’erreurs 


Exemple de message d’erreur 1 Signification 

switch#cl 

% Ambiguous command: 
"cl" 

Vous n’avez pas entré 
suffisamment de caractères pour 
permettre à votre périphérique de 
reconnaître la commande. 

switchjfclock 
% Incomplète command. 

Vous n'avez pas entré tous les mots 
clés ou les valeurs nécessaires 
pour cette commande. 

switch#clock set 
aa : 12 : 23 

% Invalid input 
detected at 
marker . 

Vous avez mal entré la commande. 
L'accent circonflexe ( A ) marque la 
position de l’erreur. 
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Utilisation de l’ILC 
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Mémoire tampon d’historique des commandes 


La fonction d’historique des commandes vous permet d'accomplir les 
tâches suivantes : 

» afficher le contenu de la mémoire tampon des commandes 
» définir la taille de la mémoire tampon de l'historique des commandes 


Commandes 


o show history : affiche l’historique (par default les 10 dernières 
commandes) 

o terminal history size 50 : configure la taille du tampon (entre 0 et 
256 lignes) 

» terminal no history size : rétablit la configuration par default 
« terminal no history : désactive l'historique 
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Séquence d’amorçage d’un commutateur 


Séquence d'amorçage d'un commutateur 


» exécute le chargeur d'amorçage (stocké dans la NVRAM) 

» Le chargeur d'amorçage effectue les opérations suivantes : 

o II procède à une initialisation de l’unité centrale à un faible niveau 
o II procède à un POST 

a II initialise le système de fichiers flash sur la carte système 
a II importe une image du système d'exploitation par défaut dans la 
mémoire et amorce le commutateur 

» Le système d'exploitation initialise ensuite les interfaces à l'aide des 
commandes Cisco IOS disponibles dans le fichier de configuration du 
système d'exploitation (config.text) stocké dans la mémoire flash du 
commutateur. 
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Configuration de base d’un routeur 


Gestion du commutateur à distance 


» Attribution d’une adresse IP au commutateur 

o L'adresse IP est attribuée à une interface virtuelle 
a II faut s'assurer que plusieurs ports du commutateur appartiennent 
au VLAN de gestion 

a Par default, VLAN1 est l'interface virtuelle de gestion 
a II est recommandé d’utiliser VLAN 99 

a Configuration de l'interface de gestion 

a travailler en mode de configuration d'interface de réseau local virtuel 
a affecter une adresse IP 
a activer l'interface 
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Configuration de base d’un routeur 


Configuration de la passerelle par default 


a Configurer la passerelle par default 
a Vérification de la configuration 

a Commande mdix auto : permet de détecter le type de câble requis 
pour les connexions Ethernet cuivre, puis configure les interfaces en 
conséquence 


Configuration du mode bidirectionnel et de la vitesse d’un port 


a duplex auto : Configurer le mode birectionnel d’interface pour 
activer la configuration bidirectionnelle automatique 
a speed auto : Configurer la vitesse bidirectionnelle d’interface et 
activer la configuration de vitesse automatique 
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Configuration de base d’un routeur 


Configuration d'une interface Web 


» ip http authentication enable|local|tacacs : Configurer l’interface du 
serveur HTTP pour le type d’authentification 
o ip http server : Activer le serveur HTTP 




• 0^0 

28/45 


Réseaux locaux Ethernet 
Transmission de trames au moyen d'un commutateur 
Configuration de la gestion d'un commutateur 
Configuration de la sécurité des commutateurs 


Utilisation de l'ILC 

Séquence d'amorçage d’un commutateur 
Configuration de base d'un routeur 


Configuration de base d’un routeur 


Gestion de la table d'adresses MAC 


Les commutateurs utilisent des tables d’adresses MAC pour déterminer le 
mode de transmission du trafic d’un port à l'autre. Ces tables MAC 
comprennent des adresses dynamiques et statiques. 

o how mac-address-table : affiche la table de commutation 

o Les adresses dynamiques sont des adresses MAC source que le 
commutateur assimile, puis définit comme obsolètes dès qu’elles ne 
sont plus utilisées (300 secondes) 

o Les adresses statiques sont affecté par un administrateur réseau et 
ne sont jamais obsolètes 

a (no) mac-address-table static jadresse_MAQ vlan 1-4096, ALL 
interface idJnterface : active (désactive un mappage statique) 
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Configuration de base d’un routeur 


Vérification de la configuration d'un commutateur 


Syntaxe de commande de l'interface de ligne de commande Cisco IOS 

Affiche l’état et la configuration d’une ou de l’ensemble des interfaces 

show interfaces [interface-id] 

disponibles sur le commutateur. 


Affiche le contenu de la configuration de démarrage. 

show startup-config 

Affiche la configuration actuelle. 

show running-config 

Affiche des informations sur le système de fichiers flash. 

show flash: 

Affiche l’état du logiciel et du matériel système. 

show version 

Affiche l’historique des commandes de session. 

show history 

Affiche des informations IP. 

show ip {interface | http | arp} 

L’option d’interface dévoile l'état et la configuration de l'interface IP. 


L’option http affiche les données HTTP relatives au gestionnaire de 


périphériques exécuté sur le commutateur. 


L’option arp affiche la table ARP IP. 


Affiche la la table de transmission MAC. 

show mac-address-table 
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Configuration de base d’un routeur 



o copy System: ru nning-config flash:startup-config 
® copy running-config startup-config 
a copy startup-config flash:config.bakl 


r Restauration de la configuration *1 

® copy flash:config.bakl startup-config 


® reload 
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Serveur tftp 


Le stockage sécurisé de la configuration, loin du commutateur, permet de 
la protéger en cas de problème majeur et important avec votre 
commutateur. 

» copy System: ru nning-config tftp://adresseJ P/nom Jichier : 
sauvegarde la configuration sur un serveur tftp 
9 copy tftp://adresseJP/nom_fichier system:running-config ou copy 
tftp://adresse_IP/nom_fichier nvram:startup-config : récupère une 
configuration depuis un serveur tftp 


9 Suppression des paramètres de configuration : erase nvram: ou erase 
startup-config en mode d’exécution privilégié. 

9 Suppression d’un fichier de configuration stocké : delete 
flash:nom_fichier en mode d'exécution privilégié 
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Plan 



Q Configuration de la sécurité des commutateurs 
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Configuration des options de mots de 


Sécurisation de la console 


a configure terminal 
a line console 
a password mdp 
a login 


Protection des 

ports vty ^ 

a configure 

terminal 

a line vty 0 

4 

a password 

mdp 

a login 
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Remarque 


Il est universellement reconnu que les mots de passe doivent être chiffrés 
et non stockés dans un format de texte clair. La commande Cisco IOS 
service password-encryption autorise le chiffrement des mots de passe de 
service. 
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Récupération de mot de passe 


Réellement, ce n'est pas une récupération de mot de passe, c'est une 
ré-initialisation. Les étapes sont: 

O Connexion physique au commutateur 

9 Maintenez le bouton Mode enfoncé jusqu'à ce que le LED système 
devienne brièvement orange, puis prenne une couleur verte définitive 
O Initialisez le système de fichiers flash à l’aide de la commande 
flashJnit 

O Chargez tous les fichiers d’aide au moyen de la commande 
load_helper 
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Récupération de mot de passe 


O Affichez le contenu de la mémoire flash à l’aide de la commande d 
flash : 

O Rename flashxonfig.text flashxonfig.text. old 
O Démarrez le système avec la commande boot 
O Empêcher le système de démarrer le programme de configuration 
O rename flashxonfig.text.old flashxonfig.text 
O copy flashxonfig.text System :running-config 
9 enable secret mot de passe 
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Bannière de connexion 


Syntaxe de commande de l’interface de ligne de 

commande Cisco IOS 

Passer du mode d’exécution privilégié au mode de 
configuration globale. 

Comm1#conf igure terminal 

Configurer une bannière de connexion. 

Comm1(config)#banner login "Personnel 
autorisé uniquement" 


Bannière d'une MOTD 


Syntaxe de commande de l'interface de ligne de commande 

Cisco IOS 

Passer du mode d'exécution privilégié au mode de 
configuration globale. 

Comm1#con figure terminal 

Configurer une bannière MOTD. 

Comm1(config)#banner motd "La maintenance du 
périphérique aura lieu vendredi . " 
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Menaces fréquentes en terme de sécurité 


Menaces 


a Inondation d'adresses MAC : exploite la limitation au niveau de la 
mémoire du commutateur enregistrant la table des adresses MAC 
o Conséquence : un commutateur inondé passe en mode fail-openagit 
et agit tel un concentrateur 

a Attaques par mystification : exemples: DHCP spoofing, DHCP 
flooding 

o Pour empêcher toute attaque DHCP, faites appel aux fonctions de 
sécurité des ports et de surveillance DHCP disponibles sur les 
commutateurs 

a CDP (Cisco Discovery Protocol) : permet d'identifier les 
périphériques cisco voisins. Il transporte les infos relatifs aux 
périphériques de manière non sécurisée et n'utilise aucun système 
d'authentification. Il est préférable de le désactiver. 
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Configuration de la sécurité des ports 


Objectifs de la sécurité des ports 


o préciser un groupe d'adresses MAC sur un port; 
o autoriser une seule adresse MAC sur un port; 

o préciser que le port s'arrête automatiquement si des adresses MAC 
non autorisées sont détectées 
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Configuration de la sécurité des ports 


Types d’adresses MAC sécurisées 


Il existe plusieurs façons de configurer la sécurité des ports: 

9 Adresses MAC sécurisées statiques : les adresses MAC sont 

configurées manuellement à l’aide de la commande de configuration 
d'interface switchport port-security mac-address adresse_mac 

9 Adresses MAC sécurisées dynamiques : les adresses MAC sont 
assimilées de manière dynamique et stockées uniquement dans la 
table d'adresses 

9 Adresses MAC sécurisées rémanentes : vous pouvez configurer un 
port pour assimiler dynamiquement des adresses MAC, puis 
enregistrer ces dernières dans la configuration en cours 
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Modes de violation de sécurité 


Il y a violation de la sécurité lorsque l'une des situations suivantes se 
présente : 

o Le nombre maximal d’adresses MAC sécurisées a été ajouté dans la 
table d'adresses et une station dont l'adresse MAC ne figure pas 
dans cette table tente d’accéder à l'interface 

a Une adresse assimilée ou configurée dans une interface sécurisée est 
visible sur une autre interface sécurisée dans le même réseau local 
virtuel 

Les modes sont : 


Mode de 
violation 

Acheminement 
du trafic 

Envoi d’un 
message 

Affichage 

d’un 

Incrémentation 
du compteur 

Arrêt du 
port 


syslog 

message 

d'erreur 

de violation 


Protect 

Non 

Non 

Non 

Non 

Non 

Restrict 

Non 

Oui 

Non 

Oui 

Non 

Shutdown 

Non 

Oui 

Non 

Oui 

Oui 
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Vérification de la sécurité des ports 


» show port-security [interface idJnterface] : afficher les paramètres de 
sécurité des ports du commutateur ou de l’interface spécifiée 
o show port-security [interface idJnterface] : afficher toutes les 
adresses MAC sécurisées configurées 
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Sécurisation des ports inutilisés 


Une méthode simple à laquelle nombre d'administrateurs ont recours 
pour mieux protéger leur réseau contre tout accès non autorisé est de 
désactiver tous les ports qui ne sont pas exploités sur un commutateur 
réseau. 
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